Беше забелязана първата атака, експлоатираща уязвимостта BlueKeep в Windows протокола RDP.
През май месец тази година от Майкрософт публикуваха детайли относно сериозна Windows уязвимост при протокола RDP (Remote Desktop Protocol), наречена BlueKeep и заведена като CVE-2019-0708. Тази уязвимост по груби сметки засяга над 1 милион устройства.
След това, кaтo чacт oт aвгycтoвcĸия Раtсh Тuеѕdау oт Maйĸpocoфт cъoбщиха, чe ca oтĸpили oщe двe ĸpитични ВluеКеер yязвимocти (СVЕ-2019-1181, СVЕ-2019-1182), ĸoитo нe изиcĸвaт пoтpeбитeлcĸa интepaĸция, ĸoeтo ги пpaви изĸлючитeлнo oпacни.
Екслоатирайки BlueKeep, атакуващ може да изпълни произволен код на Windows машина и по този начин той има възможност да получи пълен контрол над нея. BlueKeep може да се използва и за разпространяване на малуер чрез автоматизиран червей.
Беше въпрос на време някой да се възползва от уязвимостта и ето, че това се случи. Първият забелязал атаката е специалистът по сигурността Кевин Бюмонт, който я е разкрил посредством така наречените honeypots или компютри примамки, които се използват за намиране и привличане на различни атаки.
Бюмонт е установил, че първата атака е дошла от атакуващ от ниско ниво, който сканира интернет за уязвими системи и намирайки такива ги заразява с миньор за критовалутата Monero.
Същото потвърждават и други специалисти по сигурността като Джейк Уилямс и Маркус Хътчинс, известни още като MalwareTech. Те са тези, които намериха слабото място на WannaCry и спряха разпространението му.
It looks like a #BlueKeep worm has finally arrived! Kevin kindly sent me a crash dump and after some investigation I found BlueKeep artifacts in memory and shellcode to drop a Monero Miner. https://t.co/7G88YAW5lr
— MalwareTech (@MalwareTechBlog) November 2, 2019
Добрата новина е, че към момента не се съобщава за автоматизирано разпространение чрез червей и няма данни за изтриване на потребителска информация.
Според Errata Security обаче през август тази година поне 735 000 компютри са били уязвими срещу BlueKeep. Въпрос на време е уязвимостта да бъде експлоатирана в по-широк мащаб, набирайки критична маса от уязвими компютри.
От Майкрософт се опитват да намалят щетите и вече издадоха някои поправки, които са за всички поддържани версии от Windows 7 до Windows 10. Надеждите са, че с времето все повече потребители ще инсталират кръпките и така ще се намали опасността от BlueKeep атаки.
